Jetzt kostenlos registrieren: Mitglieder surfen ohne Werbung!

Garmin hat es schwer getroffen - Server weltweit komplett platt - Ransomware Attacke nun bestätigt

  • 16 Antworten
  • Neuester Beitrag
Diskutiere Garmin hat es schwer getroffen - Server weltweit komplett platt - Ransomware Attacke nun bestätigt im Garmin Forum im Bereich Weitere Hersteller.
jandroid

jandroid

Experte
Bereits seit gestern Abend geht bei der Synchronisierung zwischen meiner Garmin-Smartwatch und meinem Smartphone nichts mehr. In der App Garmin Connect bekommt man die Meldung, dass es einen Systemausfall gibt . Wenn man auf die Seite Garmin Connect | Status geht, sieht man, dass alle Dienste "down" sind (siehe Screenshots!).

Vermutet wird ein Angriff mit Ransomware. Dies wurde Seitens Garmin aber noch nicht bestätigt.
Garmin services and production go down after ransomware attack | ZDNet
Garmin Connect: Ausfall offenbar nach Ransomware-Attacke
Wearables: Server von Garmin Connect sind offline - Golem.de

Mal sehen, wann Garmin das Problem in den Griff bekommt. So ein Angriff ist zwar ärgerlich für den Nutzer, aber trotzdem auch positiv zu sehen. Es fordert die Hersteller auf, ihre Sever sicherer zu machen. Der Hersteller hat ja immer einen Ruf zu verlieren und ist bestimmt nicht an Ausfällen und schlechter Presse interessiert. Wenn der Angriff überstanden ist und Garmin die nötigen Maßnahmen einleitet, dürfte alles sicherer ablaufen.
 

Anhänge

Zuletzt bearbeitet:
Miaz602

Miaz602

Experte
Moin,
ist schon ein starkes Stück... Wollen wir hoffen, dass Garmin das alles wieder hinbekommt.
Garmin Connect geht ja zum Glück seit Montag wieder (zumindest größtenteils und teileise noch etwas stockend).
Hier ist übrigens eine Seite, auf der man immer den Status einsehen kann.

BTW: Benutzt jemand die Übertragung der Schritte von Garmin zu TK-Fit (Bonusprogramm der Techniker Krankenkasse)?
Da tut sich noch nichts. Es wäre nur interessant zu wissen, ob das nur bei mir so ist, oder ob es anderen Leuten auch so geht... Die App testweise zurückzusetzen oder neu zu installieren geht nicht so einfach...
 
jandroid

jandroid

Experte
Die RansomWare-Attacke wurde nun in diversen Medien und auch von Garmin selbst bestätigt. Die Server laufen langsam wieder an. Die meisten Dienste laufen bereits wieder.

Garmin bestätigt Cyberangriff

Garmin® issues statement on recent outage
Edit: Der Link bringt mich irgendwie auf die Startseite von Garmin, obwohl er eigentlich funktionieren sollte. Deshalb die originale Meldung nun als Screenshots.
 

Anhänge

Zuletzt bearbeitet:
Hangwire

Hangwire

Moderator
Teammitglied
Leider fehlen mir noch die Schritte von zwei Tagen. Ansonsten läuft es bei mir wieder.
 
Miaz602

Miaz602

Experte
Hangwire schrieb:
Leider fehlen mir noch die Schritte von zwei Tagen. Ansonsten läuft es bei mir wieder.
In Garmin, oder in TK-Fit?
Bei Garmin ist eigentlich alles da.
Bei TK-Fit fehlt seit letzten Donnerstag alles...
 
Zuletzt bearbeitet:
Hangwire

Hangwire

Moderator
Teammitglied
Nein, tatsächlich bei Garmin.
Bei der TK habe ich noch gar nicht geguckt.

Hab schon die Uhr getrennt und neu verbunden, per PC und Express synchronisiert. Nicht hilft.

Auf der Uhr sind die Schritte gespeichert.
 

Anhänge

Miaz602

Miaz602

Experte
@Hangwire : Hm... Da fehlen bei Dir der 23.+24.7.20. Das ist der Zeitpunkt, an dem es losging...
Ich hätte jetzt vorgeschlagen, es über Garmin Express zu versuchen - aber das hast Du ja wohl schon gemacht...
Schon mal den Sync direkt von der Uhr aus angeschoben zu Garmin Connect?

Bei mir sind die 2 Tage vorhanden.
Nur bei TK sieht es so aus:
 

Anhänge

Zuletzt bearbeitet:
Hangwire

Hangwire

Moderator
Teammitglied
Ja, von der Uhr aus habe ich es auch angestoßen. Hab die Hoffnung auch schon so gut wie verloren.
Aber ich werde es noch mal am PC versuchen.
 
Miaz602

Miaz602

Experte
Hallo,
ich muss noch mal auf meinen Beitrag hier zurückkommen:

Die Übertragung der Schritte zur Techniker Krankenkasse (TK-fit) funktioniert leider immer noch nicht... Benutzt diese Funktion noch jemand?
 
Hangwire

Hangwire

Moderator
Teammitglied
Ja, ich. Bei mir werden auch keine Schritte angezeigt.
 
jandroid

jandroid

Experte
Ich gehe mal davon aus, dass es an der Schnittstelle zur Techniker Krankenkasse liegt. Nach der RansomWare-Attacke wird Garmin zunächst alle Schnittstellen zu Drittanbietern dicht gemacht haben, auch wenn es sich "nur" um die Übertragung der Schritte handelt. Garmin wird da kein Risiko eingehen wollen und die Schnittstellen erst nach und nach wieder freigeben.

Ist aber reine Vermutung aus meiner Erfahrung. Eine Aussage aus zuverlässiger Quelle habe ich dazu nicht, da ich nicht bei der TK bin.
 
Miaz602

Miaz602

Experte
Danke Euch für die Rückmeldungen. Da weiß ich zumindest, dass es nicht an mir liegt.
Der Status für Drittanbieter ist ja auch noch gelb... aber man weiß ja nie.

Wollen wir hoffen, dass die Schritte irgendwann übertragen werden. Bei mir war gerade ein Wechsel des Zeitraums - und es wäre ungünstig, wenn gerade jetzt nicht mehr gesynct würde.

Ansonsten laufe ich natürlich nicht nur wegen des Bonussystems... allerdings... mitnehmen kann man es ja... 😁😁
 
Miaz602

Miaz602

Experte
Moin,

Zur Info: Seit gestern (04.08.) sind bei mir die Garmin-Schritte wieder in der TK-App vorhanden, aber alles zwischen 23.07 und 03.08. fehlt.
Die TK-Fit-Challange und die Tagesziel-Challange kommen damit natürlich total durcheinander... 🙄
Da wird es wohl mit dem Bonus nichts werden...
Ich hab mal die TK angeschrieben, ob die eine Lösung haben.
 
Miaz602

Miaz602

Experte
Antwort der TK: Reparaturen bei Garmin werden bis KW33 dauern. Abwarten und Challanges nicht abbrechen. Sync sollte später nachgeholt werden.
 
Zuletzt bearbeitet:
jandroid

jandroid

Experte
Ich füge hier mal den Artikel von Garmin outage caused by confirmed WastedLocker ransomware attack mit deutscher Übersetzung ein, da er hochinteressant ist und gut beschreibt, was genau passiert ist. Die letzte Aktualisierung liegt zwar schon 14 Tage zurück, aber für spätere Aufrufe ist es sicherlich interessant die Infos festzuhalten.

Angeblich soll Garmin das Lösegeld an die Hackergruppe gezahlt haben. Bestätigt wird die seitens eines betroffenen Unternehmens wohl niemals, da dies rufschädigend wäre.

Vielleicht hat ja jemand Interesse den Artikel zu lesen. 😉 Denn: was da passiert ist, ist kein Pappenstiel!

Garmin-Ausfall durch bestätigten WastedLocker-Ransomware-Angriff
von Sergiu Gatlan (Übersetzung: Google)

08/01/20 Update: Verschiedene Quellen haben BleepingComputer mitgeteilt, dass Garmin die Ransomware bezahlt hat. In einem neuen Artikel beschreiben wir heute, wie wir den von Garmin erworbenen WastedLocker-Entschlüsseler und ein von der IT-Abteilung erstelltes Wiederherstellungspaket erhalten haben.


Der Hersteller tragbarer Geräte, Garmin, hat am Donnerstag einige seiner verbundenen Dienste und Call Center geschlossen, nachdem das Unternehmen einen weltweiten Ausfall gemeldet hatte, der nun durch einen WastedLocker-Ransomware-Angriff verursacht wurde. Die Produktlinie von Garmin umfasst GPS-Navigation und tragbare Technologie für die Märkte Automobil, Marine, Luftfahrt, Marine, Fitness und Outdoor.

„Derzeit tritt ein Ausfall auf, der Garmin.com und Garmin Connect betrifft“, wie eine veröffentlichte Ausfall-Update-Benachrichtigung im Unternehmens-Newsroom anzeigt. "Dieser Ausfall betrifft auch unsere Call Center. Derzeit können wir keine Anrufe, E-Mails oder Online-Chats empfangen. Wir arbeiten daran, dieses Problem so schnell wie möglich zu beheben und entschuldigen uns für diese Unannehmlichkeiten."

Während Garmin dies in seiner Ausfallbenachrichtigung nicht erwähnte, sind mehrere von Flugzeugpiloten genutzte flyGarmin-Dienste ebenfalls ausgefallen, darunter die flyGarmin-Website und die mobile App, Connext Services (Wetter-, CMC- und Positionsberichte) und Garmin Pilot Apps (Flugplanablage) sofern keine Verbindung zu FltPlan, Kontosynchronisierung und Datenbank-Concierge besteht). Die inReach-Satellitentechnologie (Serviceaktivierung und Abrechnung) und Garmin Explore (Website erkunden und App-Zeichen erkunden), die für die Standortfreigabe, GPS-Navigation, Logistik und Verfolgung über das Iridium-Satellitennetz verwendet werden, sind ebenfalls ausgefallen .

Die indische Niederlassung des Unternehmens twitterte zum ersten Mal über das Herunterfahren einiger Server aufgrund geplanter Wartungsarbeiten vor neun Stunden, die die Leistung von Garmin Express, Garmin Connect Mobile und Website einschränken würden. Vier Stunden später teilten die Hauptkonten von Garmin auf Twitter und Facebook dieselbe Ausfallnachricht über den Vorfall mit, der sich auf die Garmin Connect-Dienste auswirkt, einschließlich der mobilen App und der Website. Auch die Call Center waren von dem Ausfall betroffen.


Bestätigter WastedLocker-Ransomware-Angriff

Eine Quelle in der Nähe der Reaktion auf den Garmin-Vorfall und ein Garmin-Mitarbeiter bestätigten BleepingComputer, dass die WastedLocker-Ransomware Garmin angegriffen hat. Ein Mitarbeiter von Garmin teilte BleepingComputer mit, dass sie zum ersten Mal von dem Angriff erfahren hätten, als sie am Donnerstagmorgen in ihrem Büro ankamen.

BleepingComputer wurde mitgeteilt, dass die IT-Abteilung von Garmin versucht hatte, alle Computer im Netzwerk während der Verschlüsselung aus der Ferne herunterzufahren, einschließlich der über VPN verbundenen Heimcomputer. Nachdem dies nicht möglich war, wurden die Mitarbeiter aufgefordert, alle Computer im Netzwerk herunterzufahren, auf die sie Zugriff hatten.

Auf einem Foto eines Garmin-Computers mit verschlüsselten Dateien, die für BleepingComputer freigegeben wurden, sehen Sie, dass die Erweiterung .garminwasted an den Dateinamen angehängt wurde und für jede Datei Lösegeldnotizen erstellt wurden.

garmin-wastedlocker.jpg

Quelle: BleepingComputer

Im Rahmen dieser unternehmensweiten Abschaltung teilte uns der Mitarbeiter mit, dass Garmin alle in einem Rechenzentrum gehosteten Geräte hart heruntergefahren hat, um zu verhindern, dass sie möglicherweise verschlüsselt werden. Diese unternehmensweite Abschaltung hat den weltweiten Ausfall von Garmin Connect und anderen verbundenen Diensten verursacht.

iThome veröffentlichte zuvor einen Bericht über ein internes Memo von Garmin über einen "Virenangriff" auf die internen IT-Server und -Datenbanken des Unternehmens, der dazu führte, dass die Fabriken von Garmin Taiwan die Produktionslinien für zwei Tage (am 24. und 25. Juli) stillgelegt wurden.

Wenn Sie bei Garmin arbeiten oder jemanden kennen, der dort mit Informationen aus erster Hand zu diesem Vorfall arbeitet, können Sie uns unter der Rufnummer +16469613731 vertraulich kontaktieren.
Nach weiteren Recherchen fand BleepingComputer die gleiche WastedLocker-Ransomware-Probe, die für den Angriff auf Garmin verwendet wurde. Da WastedLocker-Proben für jedes Ziel angepasst werden, können wir durch den Zugriff auf das Beispiel denselben Lösegeldschein und dieselben verschlüsselten Dateien generieren, die während des Angriffs angezeigt wurden.

Wie Sie unten sehen können, hängen an dieser WastedLocker-Probe der verschlüsselten Dateien dieselbe .garminwasted- Erweiterungen und erstellen dieselbe garminwasted_info- Lösegeldnotiz wie auf dem Foto, das der Garmin-Mitarbeiter an BleepingComputer gesendet hat.


wastedlocker.jpg
Mit WastedLocker-Probe von Garmin verschlüsselte Dateien
Quelle: BleepingComputer

Darüber hinaus sind die von der Stichprobe generierten Lösegeldscheine an 'GARMIN' gerichtet, wie unten gezeigt.

ransom-note.jpg

Garmin Lösegeldschein
Quelle: BleepingComputer

Berichten zufolge begann der Angriff in Taiwan, was mit dem Standort eines der Benutzer übereinstimmt, die das Beispiel auf VirusTotal hochgeladen haben. BleepingComputer wurde von einer der Quellen darüber informiert, dass die Angreifer ein Lösegeld in Höhe von 10 Millionen US-Dollar fordern. BleepingComputer konnte diesen Betrag nicht unabhängig überprüfen.

WastedLocker-Ransomware von Evil Corp.

Evil Corp (auch bekannt als Dridex-Bande) ist eine in Russland ansässige Cyberkriminelle-Gruppe, die seit mindestens 2007 aktiv ist und bekanntermaßen hinter Dridex-Malware steckt und Ransomware als Teil ihrer Angriffe verwendet, einschließlich Locky Ransomware und ihrer eigenen Ransomware-Sorte BitPaymer. Das US-Finanzministerium sanktionierte im Dezember 2019 die Corp-Bande, nachdem sie beschuldigt worden war, mit Dridex mehr als 100 Millionen US-Dollar an finanziellen Schäden verursacht zu haben .

Aus diesem Grund ist es für Garmin eine schwierige Situation, wenn sie das Lösegeld zahlen wollen, da sie möglicherweise gegen die Sanktionen der Vereinigten Staaten verstoßen würden. Seitdem hat die Hacking-Gruppe ihre Taktik erneut aktualisiert und ist nun wieder in das Ransomware-"Geschäft" involviert, indem sie ihre neue WastedLocker-Ransomware für gezielte Unternehmensangriffe einsetzt und Lösegeld in Millionenhöhe verlangt.

Die Betreiber von Evil Corp verwendeten auch WastedLocker-Ransomware, um Systeme im Garmin-Netzwerk zu verschlüsseln. Dies hat weltweit zu einem erheblichen Ausfall mehrerer Dienste und Produkte geführt, darunter Garmin Connect, Garmin Explore, Garmin inReach und flyGarmin.

Im vergangenen Monat wurde Evil Corp daran gehindert, WastedLocker-Ransomware im Rahmen von Dutzenden von Angriffen gegen große US-Unternehmen, darunter mehrere Fortune 500-Unternehmen , einzusetzen. Es gelang ihnen jedoch, Geräte zu kompromittieren, die von Mitarbeitern von über 30 großen US-Privatunternehmen verwendet wurden, indem gefälschte Software-Update-Warnungen verwendet wurden, die vom bösartigen SocGholish JavaScript-basierten Framework angezeigt wurden, das über Dutzende gehackter US-Zeitungswebsites bereitgestellt wurde .

26.07.20 Update: Garmin sagt auf einer Seite, auf der weitere Informationen über den laufenden Ausfall ausgetauscht werden sollen, dass sie an der Wiederherstellung von Systemen arbeiten und dass keine Benutzerdaten betroffen sind:

Wir arbeiten daran, unsere Systeme so schnell wie möglich wiederherzustellen und entschuldigen uns für die Unannehmlichkeiten.
Obwohl Garmin Connect während des Ausfalls nicht zugänglich ist, werden Aktivitäts-, Gesundheits- und Wellnessdaten, die während des Ausfalls von Garmin-Geräten erfasst wurden, auf dem Gerät gespeichert und in Garmin Connect angezeigt, sobald der Benutzer sein Gerät synchronisiert.
Garmin hat keinen Hinweis darauf, dass dieser Ausfall Ihre Daten beeinflusst hat, einschließlich Aktivitäten, Zahlungen oder anderer persönlicher Informationen.
Garmin sagt auch, dass inReach SOS und Messaging (einschließlich der MapShare-Website und der E-Mail-Antwortseite) von dem Ausfall nicht betroffen waren und voll funktionsfähig sind.

BleepingComputer hat Garmin kontaktiert, um weitere Informationen zu diesem Vorfall zu erhalten. Die E-Mails wurden jedoch zurückgeschickt, als die Mailserver heruntergefahren wurden.

Quelle: Garmin outage caused by confirmed WastedLocker ransomware attack
 
Zuletzt bearbeitet:
Hangwire

Hangwire

Moderator
Teammitglied
Bei mir geht nun zu 99 % wieder alles. Zum Glück. Die Schritte von 2 Tagen fehlten, die konnte ich mir über den Support aber nachtragen lassen.